2013.07.12

보안 인식 교육 실패의 일곱 가지 이유

Ira Winkler, Samantha Manke | CSO

충분히 효과를 볼 수 있는 방법이 있음에도 불구하고, 대부분 보안 인식 교육 프로그램에는 수많은 문제점이 있다. 다음의 일곱 가지 실수만 줄여도 매우 효율적인 프로그램 진행이 가능하다.

보안 인식 분야에는 이분법적 사고가 존재한다. 우리와 이야기를 나눈 대부분 CSO들은 자신의 우선 순위로 회사의 보안 문화 개선을 꼽았다.

즉, 사용자의 행동을 바꿔야 한다는 데 동의한 것이다. 마찬가지로, 하루가 멀다 하고 각종 기사와 연구 결과에서는 개인의 실수가 해커의 제1 공격 영역임을 지적한다.

일부 연구에서는 전체 해킹 공격의 90% 가까이가 개인의 부주의 때문이라고도 지적하기도 했다. 레이어 8의 보안이나 이를 대상으로 한 공격에 대한 전문용어도 생겨났다.

그러나 한편으로는 보안 인식의 가치를 쉽게 절하하는 일도 자주 볼 수 있다. 보안 인식 실패 사례들로 인한 결과로 볼 수 있을 것이다. 그러나 보안과 관련된 다른 많은 문제와 마찬가지로 보안 인식 역시 리스크의 완벽한 예방이 아니라 감소에 의의가 있음을 이해해야 할 것이다.

성공적인 보안 인식 교육 프로그램의 요소에 대해 프로그램의 실패 요소가 무엇인지 사전에 미리 고려해 보는 것도 중요하다. 이에 대한 이해가 선행된다면 프로그램 도입은 보다 수월하게 이뤄질 수 있을 것이다.

여기에서는 실패를 피하기 위해 어떤 행동들을 주의해야 하는 지에 대해 거론할 것이다. 교육 프로그램 실패는 큰 손실로 이어질 수 있기 때문이다.

보안 인식에 대한 이해 부족
보안 인식이 무엇인가에 대한 이해 부족은 보안 인식 프로그램 실패의 가장 대표적이고 근본적인 원인이다. 보안 인식 교육이라는 개념은 아직 보안 시장에서 제대로 정착되지 못하고 있는 것이 현실이다.

보안 인식 프로그램은 보안 훈련과는 다른 개념이다. '훈련'이 단기적인 관점에서 지식의 핵심을 전달하고 그것을 시험하는 과정이라면, '보안 인식' 교육 비디오 청취 등의 활동은 이 훈련의 범주에 포함되는 하나의 사례라 할 수 있다.

보안 인식 프로그램의 기본 목표는 사용자들의 태도를 변화시키는데 있다. 이 과정 속에는 단기적 이해 수준에 대한 평가가 포함되지 않는다. 보안 인식 프로그램이 '테스트'하는 내용은 사용자가 어떻게 실제 상황에서 행동하는 지의 여부다.

지식의 전달만으로는 사용자의 행동 양식을 변화시킬 수 없다. 오히려 반대로 사용자들의 사고와 행동 양식에 맞춰 정보의 제공이 이뤄져야 한다는 설명이 보다 타당할 것이다.

지식이 행동 양식에 미치는 영향은 주관적이고 임의적이다. 또한 정보의 제공 방식에 있어서도, 그것의 빈도나 형식 등에 따라 효과는 다르게 나타난다.

간단히 요약하자면, 좀 더 나은 보안 문화 정착'이라는 단순하고 순진한 목표 의식만으로는 직원들의 적극적인 참여를 이끌어 낼 수 있는 프로그램을 개발하고 실행하기란 거의 불가능한 것이다.

형식적인 것에만 치중하는 태도
CSO라면 누구나 보안 프로그램의 기초는 규정 준수(compliance)라고 얘기할 것이다. 보안 준수 기준은 보안 그 자체를 보증해 주는 것이 아니라 '최소한의' 보안 대책을 세워준다.

솔직히 대부분 규정 준수 기준으로는 충분한 보안을 보장할 수 없고 특히 보안 인식 교육에 있어서는 더욱 그렇다.

보안 인식의 규정 준수 기준은 어느 조직을 막론하고 애매하기 짝이 없다. '보안 인식 프로그램을 갖추고 있어야 한다'는 정도의 폭넓은 기준만 제시할 뿐이다.



2013.07.12

보안 인식 교육 실패의 일곱 가지 이유

Ira Winkler, Samantha Manke | CSO

충분히 효과를 볼 수 있는 방법이 있음에도 불구하고, 대부분 보안 인식 교육 프로그램에는 수많은 문제점이 있다. 다음의 일곱 가지 실수만 줄여도 매우 효율적인 프로그램 진행이 가능하다.

보안 인식 분야에는 이분법적 사고가 존재한다. 우리와 이야기를 나눈 대부분 CSO들은 자신의 우선 순위로 회사의 보안 문화 개선을 꼽았다.

즉, 사용자의 행동을 바꿔야 한다는 데 동의한 것이다. 마찬가지로, 하루가 멀다 하고 각종 기사와 연구 결과에서는 개인의 실수가 해커의 제1 공격 영역임을 지적한다.

일부 연구에서는 전체 해킹 공격의 90% 가까이가 개인의 부주의 때문이라고도 지적하기도 했다. 레이어 8의 보안이나 이를 대상으로 한 공격에 대한 전문용어도 생겨났다.

그러나 한편으로는 보안 인식의 가치를 쉽게 절하하는 일도 자주 볼 수 있다. 보안 인식 실패 사례들로 인한 결과로 볼 수 있을 것이다. 그러나 보안과 관련된 다른 많은 문제와 마찬가지로 보안 인식 역시 리스크의 완벽한 예방이 아니라 감소에 의의가 있음을 이해해야 할 것이다.

성공적인 보안 인식 교육 프로그램의 요소에 대해 프로그램의 실패 요소가 무엇인지 사전에 미리 고려해 보는 것도 중요하다. 이에 대한 이해가 선행된다면 프로그램 도입은 보다 수월하게 이뤄질 수 있을 것이다.

여기에서는 실패를 피하기 위해 어떤 행동들을 주의해야 하는 지에 대해 거론할 것이다. 교육 프로그램 실패는 큰 손실로 이어질 수 있기 때문이다.

보안 인식에 대한 이해 부족
보안 인식이 무엇인가에 대한 이해 부족은 보안 인식 프로그램 실패의 가장 대표적이고 근본적인 원인이다. 보안 인식 교육이라는 개념은 아직 보안 시장에서 제대로 정착되지 못하고 있는 것이 현실이다.

보안 인식 프로그램은 보안 훈련과는 다른 개념이다. '훈련'이 단기적인 관점에서 지식의 핵심을 전달하고 그것을 시험하는 과정이라면, '보안 인식' 교육 비디오 청취 등의 활동은 이 훈련의 범주에 포함되는 하나의 사례라 할 수 있다.

보안 인식 프로그램의 기본 목표는 사용자들의 태도를 변화시키는데 있다. 이 과정 속에는 단기적 이해 수준에 대한 평가가 포함되지 않는다. 보안 인식 프로그램이 '테스트'하는 내용은 사용자가 어떻게 실제 상황에서 행동하는 지의 여부다.

지식의 전달만으로는 사용자의 행동 양식을 변화시킬 수 없다. 오히려 반대로 사용자들의 사고와 행동 양식에 맞춰 정보의 제공이 이뤄져야 한다는 설명이 보다 타당할 것이다.

지식이 행동 양식에 미치는 영향은 주관적이고 임의적이다. 또한 정보의 제공 방식에 있어서도, 그것의 빈도나 형식 등에 따라 효과는 다르게 나타난다.

간단히 요약하자면, 좀 더 나은 보안 문화 정착'이라는 단순하고 순진한 목표 의식만으로는 직원들의 적극적인 참여를 이끌어 낼 수 있는 프로그램을 개발하고 실행하기란 거의 불가능한 것이다.

형식적인 것에만 치중하는 태도
CSO라면 누구나 보안 프로그램의 기초는 규정 준수(compliance)라고 얘기할 것이다. 보안 준수 기준은 보안 그 자체를 보증해 주는 것이 아니라 '최소한의' 보안 대책을 세워준다.

솔직히 대부분 규정 준수 기준으로는 충분한 보안을 보장할 수 없고 특히 보안 인식 교육에 있어서는 더욱 그렇다.

보안 인식의 규정 준수 기준은 어느 조직을 막론하고 애매하기 짝이 없다. '보안 인식 프로그램을 갖추고 있어야 한다'는 정도의 폭넓은 기준만 제시할 뿐이다.



X